101:サイバーリスクとは何か?”
サイバーリスクは、今日最も急速に成長している企業リスクと組織の優先事項です。 2019年のGlobal Risk Perception Surveyによると、サイバーリスクは世界の組織の79%が優先順位上位5位にランクインしました。
サイバーリスクの増加は、価値の原動力としての技術の使用の増加に大きく結びついている。 アウトソーシング、サードパーティベンダーの使用、クラウド移行、モバイル技術、リモートアクセスなどの戦略的イニシアチブは、成長を促進し、効率を向上させる サイバーリスクは、技術の問題から組織の問題に進化してきました。 要するに、サイバーリスクはすべての人の問題です。
ここでの複合要因は、過去20年間で、サイバー犯罪は指数関数的に増加しています。 FBIのサイバー犯罪報告メカニズムであるIC3によると、報告されたサイバー犯罪による金銭的損害は合計3ドルでした。2019年には50億ドル、2021年にはサイバー犯罪の世界的なコストが2015年の3兆ドルから2倍の6兆ドルになると予測しています。
サイバーリスクの定義
サイバーリスク、またはサイバーセキュリティリスクは、組織の情報または通信システムに起因する損失または害への潜在的な サイバー攻撃、またはデータ侵害は、サイバーリスクの二つの頻繁に報告された例です。 しかし、サイバーセキュリティリスクは、データの損傷や破壊や金銭的損失を超えて広がり、知的財産の盗難、生産性の損失、評判の害を含みます。
サイバーリスクの例
サイバーリスクは、どの組織でも直面することができ、組織内(内部リスク)または外部(外部リスク)から来ることができます。 内部と外部の両方のリスクは、悪意のあるまたは意図しないことができます。
内部リスクは、組織内の従業員の行動に起因します。 悪意のある内部サイバーリスクの例は、不満を持った従業員によるシステムの妨害やデータの盗難です。 意図しない内部リスクの例としては、古くなったソフトウェアにセキュリティパッチをインストールできなかった従業員があります。
外部リスクは、組織およびそのステークホルダーの外部から生じます。 外部の悪意のある攻撃は、第三者によるデータ侵害、サービス拒否攻撃、またはウイルスのインストールである可能性があります。 意図しない外部からの攻撃は、通常、外部にいるが組織に関連しているパートナーまたは第三者、つまりシステムの停止が組織に運用上の混乱をもたらすベンダーに起因します。
サイバーリスクの影響
デロイト-アドバイザリーサイバーリスクサービスによると、”サイバーリスクは、ビジネスリスク、規制、技術の交差点に存在する問題です。 デロイトは、2019年のFuture of Cyber Surveyで、セキュリティインシデントの影響は、運用の中断や規制上の罰金による財務上の損失を含む実質的な金銭的コストから、顧客の信頼の喪失、評判の喪失、リーダーシップの変化などの無形のコストまで様々であることを明らかにした。
サイバーセキュリティのリスクは、定量的な損失と定性的な影響の両方をもたらす可能性があります。 実現されたコストには、生産性や運用の中断による収益の損失、インシデントの軽減と修復費用、弁護士費用、さらには罰金が含まれる場合があります。 定量化が困難であり、一般的に是正に時間がかかるサイバーセキュリティインシデントの具体的な影響は少なく、のれんの喪失、ブランドの評判の低下、市場での地位の低下などが含まれます。
サイバーリスクの管理
サイバーリスクは、顧客、従業員、パートナー、ベンダー、資産、評判など、組織のあらゆる側面に影響を与える可能性があります。
このように、効果的なサイバーリスクマネジメントプログラムは、組織全体が関与しています。 ITまたはインフォセックは最終的にサイバーセキュリティリスク管理を所有する可能性がありますが、サイバーリスクは組織全体に分散しており、効果的にエクスポージャーを管理および軽減するために統合されたアプローチと部門間のコラボレーションが必要です。
以下は、堅牢なサイバーリスク管理戦略を実装するために組織が取ることができる4つの重要なステップです。
- リスクプロファイルの理解:リスクプロファイルと潜在的なエクスポージャーを理解するには、企業全体の脅威評価が必要です。
- 重要な企業リスクを特定し、サイバーリスクの対象となるアプリケーション、システム、データベース、およびプロセスを決定する。 意図しないユーザーエラーから悪意のある攻撃へのサードパーティのアクセスまで、外部および内部の脅威の配列を検討してくださ
- すべての利害関係者とリスク評価を実施し、部門横断的および二次的な影響、技術依存性を含むサイバーリスクエクスポージャーの可能性と潜在的な影 彼らはますますサイバー事件のためのベクトルになっているように、サードパーティの露出を検討し、自宅からの要件を仕事に起因する拡大技術の境界に
- サイバーリスクインシデントの潜在的な財務、運用、評判、コンプライアンスへの影響を含むリスクを定量化する。 リスクスコアリングフレームワークは、より全体的な脅威のランキングを提供するのに役立ちます。
- 全社的な戦略を設定する: サイバーリスク管理のための全社的な戦略的枠組みを確立する
- 共有リスク測定フレームワークと報告システムを採用して、組織全体のリスクを効果的に優先順位付けし、情報に基づいたリソース配分を可能にすることにより、リスクの優先順位を決定する。
- 業界固有のリスク基準を検討し、特定のコンプライアンス要件をサイバーリスク管理の実践に組み込む。
- 企業全体のITおよびサイバーリスク管理戦略を設定し、伝達する。 テクノロジーのインフラストラクチャとアプリケーションの使用は、すべての組織全体で重要です。 したがって、サイバーリスクエクスポージャーは、IT部門ではなく、組織の優先順位になり、どの部門でも発生する可能性があります。
- サイバーリスクマネジメントインフラストラクチャへの投資
- システム要件を評価して、組織のサイバー脅威がどこから発生したのかを理解し、必要なシ 分散型のクラウドベースの組織は、物理的な資産集約型の組織とは異なるニーズを持っています。 GRCプラットフォームが進化するニーズに対応できるように、現在の会社の運営方法を検討してください。
- GRCソフトウェアやその他のサイバーリスクマネジメントツールへの潜在的な投資は、リスク報告とインシデント管理の要件、ワークフロー、使いやすさ、柔軟性、
- 動的なサイバーリスクマネジメントプロセスの確立
- 潜在的な脅威の最新のインベントリを維持し、サイバーインシデントの潜在的な影響と緩和コ
- セキュリティプロトコルが組織の基準や慣行と一致していることを確認するために、第三者と通信します。
- トレーニングへの投資-技術の急速な進化と関連するサイバーセキュリティリスクでは、サイバーリスク管理は静的ではありません。 組織は最先端のセキュリティインフラストラクチャに多額の費用を費やすことができますが、真に効果的なサイバーリスク管理プログラムには効果的な利害関係者のトレーニングが必要です。
LogicGateのITリスクマネジメントソリューション
サイバーリスクの規模と範囲が爆発するにつれて、組織はサイバーセキュリティリスクを正確に評価、定量化、管理、軽減するにはどうすればよいでしょうか。 サイバーセキュリティリスク管理には、企業全体の関与とリスクの効果的な管理を可能にする堅牢なプラットフォームが必要です。
カスタマイズされた柔軟なインターフェイスにより、サイバーリスク意識の文化を確立することが容易になります。 LogicGateのITセキュリティリスク管理ソフトウェアは、会社のリスクフレームワークを伝達し、情報資産を保護し、業界標準に準拠するために必要な共有ツール